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Abstract of DE1 951 3801 

A process allows a control to be generated from 
an application-related formal specification. The 
process allows controls to be generated that 
satisfy specific safety conditions so that the 
safety conditions are respected during control 
generation. Constructs for specifying sequential 
and parallel processes allow the exclusive 
description of only the functionally desired 
aspects, so that a clear distinction between 
safety and function is achieved. 
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© Verfahren zur automatischen Erzeugung einer Steuerung 

Es wird din Verfahren beschrieben, das die Generierung 
einer Steuerung aus einer anwendungsnahen, formalen 
Spezifikation unterstutzt 

Das Verfahren ermoglicht die Erzeugung von Steuerungen, 
die spezifizierte Sicherheitsbedingungen erfullen, und zwar 
so, dafi der Generierungsprozefc deren Einhaltung garantiert. 
Konstrukte zur Spezifikation sequentieller und paraJleler 
Ablaufe sind vorgesehen, die es eriauben, nur gerade die 
funktional gewunschten Aspekte zu baschreiben, so daS 
eine klare Trennung von Sicherheit und Funktion mdglich ist. 
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Beschreibung 

Die rationelle Entwicklung zuvertassiger Software fQr reaktive Systeme, wie es Steueningen aller Art sind, ist 
heute voirangiges ZieL Fig- 1 zeigt ein PrinzipbOd eines Systems bestehend aus einer Steuerung und emem zu 
5 steuernden ProzeB. Die Steuerung muB so ausgefQhrt sein, daB der ProzeB nur zulassige Zustinde emmmmt 
Der Steuerung werden an den Eingangen Eingangswerte, z. B. Sensorwerte, zugefOhrt, die nn folgenden Em- 
gangszustande genannt werden. An den Ausgangen gibt die Steuerung Ausgangswerte, im folgenden Ausgangs- 
zustande genannt, ab, die den ProzeB so beeinflussen, daB er nur die zufcssigen Zustande annehmen kann. 

Bei der Programmierung derartiger speicherprogrammierbarer Steueningen sind jeweils folgende Vorgaben 
io zubeachten: 

— die Funktionsweise der zu steuernden Gerate oder Prozesse — d h. was bewirkt jeder einzelne Aus- 
gangszustand der Steuerung, und wie sind die Sensorwerte, die der Steuerung geliefert werden, zu interpre- 
tieren. 

15 — die von der Steuerung zu realisierende Funktion; z. B. Bewegungsablauf e. 

— ggf. vorhandene einschrankende Sichertieitsbedingungen; z.B. sind bestimmte Kombmationen von 
Zustanden, Oder bestimmte geometrische Konfigurationen zu vertneiden, bestimmte Aktoren durfen nur 
aktiviert werden, wenn zugehorige Vorbedingungen (Verriegelungen) erfullt sind etc. 

20 Diese Vorgaben liegen jeweils in unterscWedlicber, meist informeDer Form vor. Das technische Problem 
besteht nun darin, eine Steuerung so zu programmieren, daB sie den Vorgaben entspricht 

Im Gegensatz zu regelungstechniscben Aufgaben, bei denen die Theorie abhangig von ProzeBmodellen 
bestimmte (Standard-) Regelungsalgorithmen kennt, mussen diskrete Steuerungsaufgaben jeweils neu program- 

miert werden. m _ . , . . 0 , 

25 Die Programmierung speicherprogrammierbarer Steuerungen geschieht heute in der Weise, daB der Pro- 
grammierer die logischen VerknQpf ungen festlegt, nach denen die Ausgangszustande sich aus den Eingangszu- 
stande und den Programmzustanden bestimmen. 

Zur Programmierung von Ablaufen existieren entsprechende Konstrukte von Programmiersprachen, urn sog. 
Schrittketten und paraliele Ablaufe zu beschreiben. In jedem Fall ist es aber Sache des Programmierers, die 
30 Einhaltung der Funktion und der Sicherheitsbedingungen zu garantieren. Ma W, der Zusammenhang zwischen 
demProgramm und den oben genannten Vorgaben ist nicht explizit dokumentiert. 

: Ein Problem bei diesem Vorgehen ist dUe Fehleranfalligkeit, denn schon bei mittelgroBen Systemen ist die 
Vielfalt der moglichen Systemzustande praktisch unuberschaubar groB; so werden nahezu immer Falle uberse- 
hen, und bei der Inbetriebnahme mussen mit erheblichem Aufwand Programme umgeschrieben werden. 
35 Noch gravierender ist das Problem, daB jedes Umschreiben, sei es wegen eines Fehlers, wegen geanderter 
Umgebungsbedingungen oder wegen neuer Anforderungen, die ganze Software betrifft — dh.es gibt keinen 
Mechanismus, der die Auswirkungen einer Anderung lokal halt oder auch nur die von einer Anderung betroffe- 
nenSteflenmarkiert . ■ . . . ■ 

Der Erfindung liegt die Aufgabe zugrunde, aus einer anwendungsnahen Spezifikation einer Steuerungsaufga- 
40 be eine Steuerung zu erzeugen. Diese Aufgabe wird gemaB den Merkmalen von Patentanspruch 1 geldst 
Weiterbildungen der Erfindung ergeben sich aus den abhangigen Patentanspruchen. 

Die Erfindung wird anhand eines Ausfuhrungsbeispiels erlautert, unter Verwendung einer Spezifikationsspra- 
che, die CSLxt genannt werden soil 



45 



1. Grundsatzliche Darstellung der Erfindung 
1.1 Grundkonzepte von CSLxt 



Die Erfindung geht davon aus, daB der EntwurfsprozeB fur reaktive Systeme immer mit den folgenden 
50 Komponentenbeginnt(Flg-2): 

— Beschreibung der zu steuernden Prozesse, 

— Beschreibung der gewunschten Funktion des Gesamtsystems, und 

— Sicherheitsanforderungen. 

55 CSLxt umfaBt zum einen Sprachmittel urn die drei Komponenten der Spezifikation zu beschreiben, zum 
anderen die zur Generierung der Steuerung notigen Verf ahren. 
Die tragenden Grundelemente des Ansatzes sind: 

60 — die Spezifikation mit demKonzept der endlichen Automaten, 

— die Unterscheidung zwischen beeinfluBbaren und nichtbeeinfluBbaren ZustandsgrdBen, und 

— die Konstruktion einer Steuerung durch Iterationsverf ahren. 

Dem Verfahren liegt die Vorstellung zugrunde, daB auf jedes Ereignis iin ProzeB, d h. jede Anderung der 
65 Sensorwerte, eine Reaktion der Steuerung, d k eine Anderung der Aktor-Stellungen (Ausgangs- Werte) erf olgt 
Das Zusammenwirken von Steuerung und ProzeB wird als ein Zwei-Personen-Spiel aufgefaBt, wobei die 
Steuerung ein bestimmtes Ziel verfolgt — namlich Sicherheit und Funktion zu garantieren wahrend der 
ProzeB als "Gegenspieler* dieses Ziel im ungunstigsten Fall zu verhindern sucht, jedenf aUs aber nicht koopenert 
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Nun wird das Verhalten des Prozesses (bzw. der Prozesse) als gegeben angenommen, die durch Sensorwerte 
beschriebenen ZustandsgroBen sind nicht (direkt) beeinfluBbar. Dagegen sind die Aktoren von der Steuerung 
beeinfluBbar. Das Verhalten der Steuerung — d h. hier die Obergangsfunktion des Automaten, der die Steue- 
mng beschreibt-, wird aus der Spezifikation des Ziels syntbetisiert 
Dieser gesamte GenerierungsprozeB Iauft wie folgt ab: 5 

1. Definition eines nicht-deterministischen Automaten, der alle pbysikaJisch mogiichen Verhaltensweisen 
beschreibt 

2. Beschreibung der erlaubten Zustands-Obergange. 

3. Einschrankung des durch 1. und 2. beschriebenen Automaten auf einen, der die Sicherheitseigenschaften io 
eniuiu 

4. Einschrankung dieses Automaten auf einen, der die Funktion erfullL 

Die letzten beiden Konstruktionsschritte machen intensiven Gebrauch von Iterationsverfahren im Zustands- 
raurn des Gesamtsystems. Dies kann verstanden werden als ein Vorausschauen der Steuerung auf die mogiichen 
Spielzuge . Hienn imterscheidet sich CSLxt wesendich von den meisten anderen Spezifikationsmethoden fur 
reaktrve Systeme, die die Obergangsfunktion eines Automaten zwar auch berechnen, aber dabei immer nur 
einen Schntt (emen ^ug", eine Transition) betrachten. 
Das Verfahren zu 3. ist gekennzeichnet durch die folgenden Arbeitsschritte: 

- Es wd die (in einem zu prazisierenden Sinne) groBte stabilisierbare Teilmenge der als zulassig fsichert 
spezmzierten Zustandsmenge iterativ bestimmt " 

- Die Obergangsfunktion wird dadurch eingeschrankt, daB nur Obergange zu sicheren Zustanden eriaubt 
werden. 

Das Verfahren zu 4. ist durch die folgenden Schritte gekennzeichnet: 

- die Funktion wird durch Angabe bedingter Zielzustinde beschrieben. 

~ p wird iterativ die Menge all derjenigen Zustande bestimmt, von denen aus der Obergang in einen 
Zielzustand in endhch vielen Schritten erzwungen werden kann. 

- Die p)ergangsfunktion wird dadurch eingeschrankt, daB, wenn immer mdglicfa, solche Obergange 
ausgefuhrt werden, die "haher* an den Zielzustand fuhren. Ein Zustand a ist dabei dem Ziel naher 2s ein 
Zustand b, wenn von a aus weniger Schritte als von b aus bendtigt werden, urn in den Ziel zustand zu 
geJangen. ! " 

- Bei der Berechnung dieser Zustandsmengen wird berucksichtigt, daB fur das Verhalten des gesteuerten 35 
Prozesses wohldefinierte "Fairness^-Annahmen gelten, d. h. daB bestimmte Ereignisse jeweils nach einer 
nicht bekannten, aber endiichen Anzahl von Schritten eintreten mGssen 

1^ Beispiel Hubdrehtisch, Fig. 3 

Zvr Illustration der Erfindung dient ein einfacher Hubdrehtisch, der hier kurz beschrieben wird- 
Die Funktion des Hubdrehtisches ist es, ein Teil, das von einem Zufuhrband kommt, in eine Position zu heben 
und (urn eine vertikale Achse) zu drehen, in der es dann em Roboter greifenkann. 

DemgemaB gibt es die Befehle up, down und stop fur die vertikale Bewegung sowie rotate plus (abgekurzt 
rot plus), rotmmus, rot stop fur die Drehbewegung. ~* v 6 

^ Es gibt zwei Lichtech^ken low" und "high" fur die vertikale Position, sowie ein analoges Signal das den 
Drehwinkel meldet Fur die Eingange machen wir jedoch durchgangig folgende vereinfachende Annahme: eine 
bcImrtteteUenkomponente auBerhalb der hier spezifizienen Steuerung setzt die Eingangswerte so urn, daB fur 
die beiden Dimensionen jeweils genau einer von drei mogiichen Werten voriiegt, namfich low, betwe- 
en Jow_high,oder high, und rotO, between rot0_rot45,oderrot45. 

Damit arbeiten wir effektrv mit diskretislerten (qualitativen) Werten. 

Die Positionen (low, rotO) bzw. (high, rot45) eritspricht dabei der Stellung, in der ein Teil vora Zufuhrband 
aufgelegt bzw. vom Roboter weggenommen werden kann. 

Folgende Sicherheitsanforderungen sind beim Hubdrehtisch zu beachten: 
*In der unteren Stellung (Sensor low « on) darf der Tisch nicht rotiert werden" (weil namlich der Tisch sonst mit ss 
dem^unmittelbar angrenzenden ZufGhrband kollidieren wiirde) bzw. im vorliegenden Kontext gleichbedeutend- 
vSbote^ "* ^ **" Drehwinkel 0 (rot0 > """V ( Seh e Fig. 2, schraffierter Bereich = 

Fur die Bewegung des Hubdrehtisches ergibt sich daraus, daB zwar eine gleichzeitige Bewegung nach oben 
und Drehung moglich 1st, aber erst nachdem die Hohe betweenjowjiigh erreicht wurde. Diese Art Einschran- so 
Kung 1st typisch fur viele m der Automatisierungstechnik auftretende Parallelablauf e. 

2. ProzeBmodellierung in CSLxt 

Als Voraussetzung f fir die Konstruktion einer sicheren und korrekten Steuerung wird eine Beschreibung der es 
Ablaufe im (ungesteuerten) ProzeB verwendet, die im folgenden erlautert wird. 
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Zl Vorgaben zur Anwendung von CSLxt 
Bei den Zustandsattributen der Steuerung sind zu unterscheiden: 

5 — Eingangszustande oder Sensorzust&nde, die direkt von auBen gesetzt werden konnen, 

— Ausgangszustande, die direkt den ProzeB beeinflussen, und 

— innere Zustande oder Steuerzustande. 

Es tragt zur KJarheit bet diese drei Arten auch syntaktisch in einera CSLxt-Programm zu unterscheiden. 
10 Dies kann am Beispiel des Hubdrehtisches etwa wie folgt aussehen: 

sensor.zus taende : [ 

vertical_pos : t low, between_low_high, high ] , 
rotary_poss [ rotO, between_rot0_rot45, rot45 ] 

3. 

ausgangs_zus taende : [ 

moving_state: [ stop, up, down ], 
ro ta t ion_s t at e : [ rot_s top , rot_plus , rot_minus ] 



Anmerkung: Die Sprache CSLxt dient hier der Illustration der Konzepte, ist aber in ihrer spezifischen 
30 Auspragung nicht Gegenstand der Anmeldung. Daher wird die Syntax nicht volistandig beschrieben. 

Z2 ProzeBmodellierung mit Constraints 

Beim ProzeBmodell geht es darum, zu beschreiben, wie sich die Ausgangszustande auf Eingangszustande 
35 auswirken, d. h. welche Obergange der Eingangszustande bei gegebener Belegung der Ausgange mdglich sind. 
Insofern ist die eingefuhrte Unterscheidung zwischen Eingangszustanden, Ausgangszustanden und inneren 
Zustanden die Basis des ProzeBmodells. 

Das ProzeBmodell kann ais endlicher Automat beschrieben werden, der mit der Steuerung gekoppelt ist, <L h. 
er liest die Ausgangszustande und schreibt die Eingangszustande der Steuerung. Fur die praktische Notation des 
40 ProzeBmodells wird jedoch eine Darstellung gewahlt, die diese Sichtweise nicht explizit macht. Aus Benutzer- 
sicht ist das ProzeBmodell ja schiicht ein Zusammenhang von Eingangszustanden und Ausgangszustanden — die 
im folgenden vorgeschlagene Notation ist daher Teil einer CSLxt-Spezifikation. Dazu wird "processdescrip- 
tion" ais neues Konstrukt eingef uhrt, und anhand des folgenden Beispiels beschrieben. 
Ein sehr einfaches, aber praktisch haufig auftretendes Beispiel ist die Oberwachung einzelner binarer AusgSn- 
45 ge durch direkt zugeordnete Sensoren, etwa "Ausgangszustand: Hebel Of men, Eingangszustand: Hebei ist off en" 
Diese Art Zusammenhange wird bisher nur im Kopf des Entwicklers, aber nicht formal verarbehet — eine 
haufige Fehlerquelle. ...... . . _ 

Fur die folgende Darstellung wahlen wir ein anderes, etwas komplexeres Beispiel das wiederum exemplanscn 
ist fur einen haufig vorkommenden Typ von Ausgangs-Eingangs-Zusammenhangen: Ein Ausgangswert gibt die 
50 Richtung vor, in die sich ein bestimmter Engangswert verSndert bzw. verandern soil Diese Situation liegt immer 
dann vor, wenn ais Aktor ein Motor dient, der die Stellung einer Komponente in zwei Richtungen verandern 
kann. 

Es wird hier angenommen, daB alle ProzeBwerte zu quaiitativen Werten abstrahiert werden. Damit hat der 
Ausgang den Wertebereich [stop, up, down] und der Eingang z. B. drei Werte wie [low, between Jowjiigh, high]. 
55 Der zugehdrige Ausschnitt aus dem ProzeBmodell kdnnte in einer anwendungsnahen Darstellung nun wie 
folgt aussehen: 



process_description: [ 

qual_deriv :[ vertical _pos ( low, between_low_high, high), 
moving_state(stop, up, dovm) ] 

Dies soil bedeuten, daB das Attribut moving_state die qualitative Ableitung des Attributs vertical j>os dar- 
stellt,wobei die genannten Werte auftreten. ' 

Es werden naturlich neben qualderiv weitere Varianten gebraucht, z. B. fur mehr ais drei Wert-Intervalle, 
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evtL fQr Motoren nut mefar als einer Geschwmdigkeit. aber auch fur Zusammenhlnge anderer Art Allerdinirs kt 
der Anwendungsbereich des hier vorgestellten qual deriv und seiner engen Vemandten «fiBer »fc?f V? 
Vorstellung von einem "Motor" und einer mechanischen Position suggeriert. gr5Ber ^ es die 

Weitere Beispiele, die ebenfalls als qualitative Ablehung beschreibbar sind, nmfassen: 

— Ventilstelhmgen bzw. Pumpen als Aktoren und Fullstand-Sensoren, 

— Heizung bzw. KQhlung als Aktor und Temperatur-Sensoren. 

Nach dem nieryorgeschlagenen Konzept braucht also der Benutzer zur Soezifikation des Pnrortnw^uik 
Dies istem zusatzlicher Aufwand, der fur die pure Erzeugung einer Steuerung nicht notwendi^ ware „nd in 

oSESZZBEtr auch ^ fibKch fat E ^ d aber -^^SiSS5KSK 

15 

a Generienwg der Steuerung mit Sicherheits-Eigenschaften 

3.1 Spezifikation von Sicherheitseigenschaften 

30 

sa£ety M requirement8 : 

/* — ■ SAFETY REQUIREMENTS . . 

— — -*/ ~ 1" 35 

im folgenden steht V ftSr logisches "UND" , fur logisciie 

Iroplikation 

/* Teil 1: Tisch wird nicht tiefer als -low- abgesenkt */ * 
nacht (vertical__pos = low /\ moving_state = down) 
/* ... (analog fuer die anderen Grenzen ) */ 

A ' 45 

/* Teil 2: Tisch wird in der Stellung -low- nicht gedreht */ 
(vertical_pos = low) ==> 

(rotation_state = rot^stop /\ rotary_pos = rotO) * 
/*_ -END , SAFETY REQUIREMENTS — - 

55 

3.2 L5sungdurch ein Minimax-Verfahren 



A . , w . ■ V ° ,7™ T *wi6it oexracniet: 
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der folgenden Zustande zeigt Die Zustande von Ctrl und proc sind als Kreise dargestellt, deren Abhangigkek 
voneinander durch Pfeile verdeutiicht sind. Die weiB unterlegten Kreise stellen erlaubte Zustande ZW dar, die 
grau unterlegten Kreise stellen Zustande ZG dar, die als gefahrlich zu meiden sind, weil gilt: kommt das System 
in einen grauen Zustand, kann nicht mehr garantiert werden, daB es nicht in einen verbotenen, illegalen Zustand 
ZS kommt, der durch schwarze Kreise dargestellt ist Aufgabe des Verfahrens ist es, solche "Sackgassen* zu 
vermeiden. 
Dabei ist zu beachten: 

— Ein Zustand, in dem Proc am Zug ist, ist gefahrlich, falls es einen gef ahrlichen Folgezustand gibt. 

— Ein Zustand, in dem Ctrl am Zug ist, ist gefahrlich, falls alle Folgezustande gefahrlich sind. 

Bei Fig. 4 hat Crtl ausgehend vom Zustand ZW1 zwei Moglichkeiten. Wahh Crtl den linken Ast, folgt bei Proc 
ein gefahriicher Zustand ZG1. ZG1 ist gefahrlich, weil Proc am Zug ist und ZG2 wahlen konnte. ZG2 ist 
gefahrlich, weil keine andere Wahl als ZG3 bleibt ZG3 ist gefahrlich, weil Proc am Zug ist, durch den der 
Zustand ZS1 gewahlt werden konnte. Die anderen Zweige konnen entsprechend durchlauf en werden. 

Die Menge der gefahriichen Zustande auszurechnen, ist deshalb moglich, weil die gesamte Zustandsmenge 
endlich ist und die genannten Bedingungen immer nur Zustande hinzufQgen konnen. Eine Iteration muB also 
nach endlich vielen Schritten einen Fixpunkt erreichen. 

Mit "Zustandsmengen" sind im folgenden immer Mengen von Zustanden der Steuerung bezeichnet 

Fur jede Zustandmenge P bezeichnet acx(P) die Menge all der Zustande, fur die in einem Schritt ein Obergang 
in die Menge Perzwingbar ist 

Of fensichtlich besteht acx(P) aus 

— aDen Zustanden, in denen die Steuerung am Zug ist, sofern es wenigstens einen Folgezustand in P gibt, 
sowie 

— aDen Zustanden, in denen der ProzeB am Zug ist und far die jeder Folgezustand in P ist. 

Fur jede Zustandmenge P bezeichne die "grdBte stabiiisierbare Teilmenge von P* die grdBte Menge Q fQr die 
gilt 

Q ist in P enthalten und 
Q ist in acx(Q) enthalten. 

Es wird zunachst dargestellt, wie die grdBte stabiiisierbare Teilmenge, einer beliebigen Zustandsmenge 
berechnet werden kann: 

Verfahren zur Konstruktion der groBten stabQisierbaren Teilmenge 
Es sei P eine Zustandsmenge. 

1. SetzeQo:=» P 

2. Wiederhole Schritt 3 soiange bis gilt Qi « Qi+ 1 

3. Setze Qi+i :« acx(Qi) O Qi 

( n steht fur den Durchschnitt zweier Mengen) 

Verfahren zur Konstruktion einer sicheren Steuerung 

1. Setze SR : « Menge der Zustande, die die spezifizierten safety requirements erfullen. 
Z Setze G : « grdBte stabiiisierbare Teilmenge von SR 

3. Definiere die Funktion der Steuerung so, daB zu jedem Zustand immer ein Folgezustand gewahlt wind, 
derinGfiegt 

Ergebnis des Verfahrens 

Falls der Anfangszustand nicht zu G gehort, dann ist die Spezifikation nicht erfullbar. Andernfalls garantiert 
die Konstruktion gerade, daB fQr jedes Verhalten des Prozesses die Steuerung hnmer einen Zug (Transition) hat, 
die innerhalb der Zustandsmenge G bleibt 

4. Spezifikation der Funktion 

Eine Steuerung, die nur sicher ist, fet von geringem praktischen Wert Es muB selbstverstandlich auch 
garantiert sein, daB sie die gewunschte Funktion erfullt. Im Sinne formaler Verfahren ist die erste Voraussetzung 
hierfur eine Spezifikation dieser Funktion. 

CSLxt kennt zwei sich erganzende Sprachmittel zur Beschreibung f unktionaler Eigenschaf ten: 

a) Spezifikation durch explizite Angabe von Transitionen 

b) Deklarative Spezifikation durch Angabe bedingter SollzustSnde. 
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Punkt a) erfordert kein neues Verfahren und wird daher nur kurz behandelt (Abschnitt 4.1). Punkt b) ist eine 
Innovation von CSLxtundwird in Abschnitt 4.2. dargestellt 

4.1 Explizite Spezifikation 

5 

Dieser Abschnitt zeigt, wie die Funktion einer Steuerung beschrieben werden kann, so daB fur die Einhaltung 
von Sicherheitseigenschaften das Verfahren aus Abschnitt 3. zum Einsatz kommen kann. 

Zulassige Obergange der Steuerung konnen z. B. in der gangigen Petri-Netz-Notation wie in Fig. 5 beschrie- 
ben werden. Dabei steht jeweils ein Kreis fur einen Zustand der Steuerung, ein waagrecht er Strich fur einen 
moglichen Obergang (Transition). Neben den Zustanden stehen Aktionen (Ausgangswerte) der Steuerung, 10 
neben den Transitionen Vorbedingungen, die zum Zeitpunkt der Transition erfulk sein mussen, wie z. B. Sensor- 
Informationen. 

Das Ergebnis des Minimax-Verfahrens besteht in diesera Beispiel darin, daB an der im Diagramm rait ** 
bezeichneten Stelle automatisch eine zusatzliche Vorbedingung eingebaut wird, die das Einhalten der Sicher- 
heitsbedingung (erst drehen, wenn vertikale Stellung im sicheren Bereich ist) garantiert Wird die Automatenta- 15 
fel durch solche explizite Transitionen beschrieben, schrankt dies die Freiheiten ein, die fur die Generierung der 
Sicherheit gebraucht werden. LaBt die explizite Spezifikation keine solchen Freihehea kann die Sicherheitsge- 
nerierung nicht mehr arbeiten. Ihr Ergebnis ware dann 

— entwedersind die Sicherheitseigenschaften ohnehin erfullt 20 

— oder siekdnnenauch durch das Iterationsverfahren nicht erfullt werden; dieses lief ert dann das Ergebnis 
"not okay". 

Daher ist bei der expliziten Spezifikation darauf zu achten, daB keine unndtigen Details festgelegt werden, 
sondern die Freiheiten, die aus technologischer Sicht bestehen, auch in der Spezifikation bestehen bleiben. 25 

42. Deklarative Spezifikation 

Im folgenden wird das Sprachmittei vorgestellt, das CSLxt zur deklarativen Spezifikation der funktionalen 
EigenschaftenbietetAngestrebte Vorteilesind dabei 30 

— Komplexitatsreduktion, d. h. Vereinf achung der Spezifikation durch Konzentration auf das Wesentliche, 
daher 

— Elimination von Fehlerquellen, 

— anwendungsnahe Formulierung der funktionalen Eigenschaften. 35 
Das.Konstrukt hat die Form 

function:[Prael — Targetl, Prae2 — Targe t2,. . .] 

40 

dh.es wird eine liste von Paaren angegeben. Prael, Targetl etc. stehen dabei fur beiiebige CSLxt-Bedingun- 
gen. Die Semantik dieses Konstrukts ist beschreibbar wie f olgt: 

Targetl usw. geben die Soil- oder Zielzustande an, Ein Sollzustand wird jeweils abhangig von der zugehorigen 
Vorbedingung Prae aktiviert Genauergilt fur jedes Paar Prae — Target: 

Solange Prae gilt, wird die Steuerung versuchen, einen Zustand herzustellen, in dem Target gilt Dieser wird erst 45 
verlassen, wenn Prae nicht mehr gilt 

Im einfachsten Fall sind die Bedingungen Prael, Prae2 usw. paarweise disjunkt — dies entspricht dem 
. Umschalten zwischen verschiedenen Betriebszustanden. Es muBjedoch nicht der Fall sein. 

Die Funktion des Hubdrehtischs wird mit dem function- Konstrukt wie folgt beschrieben werden: 

50 

function: [ 

part_pr es ent ist ja - 

vertical_pos= high a rotary_pos= zrot 45 55 
part_present ist nein - 

vertical^. pos= low a rotary_ pos= rotO 
] 60 

FOr jedes Paar Prae — Target wird eine separate It erationskonstruktion durchgefQhrt wie unter 43. beschrie- 
ben. Sie liefert als Ergebnis — wie fur die Sicherheit — folgende Informationen " 65 

— Anfangszustand okay oder nicht okay, und 

— Obergang okay oder nicht okay. 
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FaUs beide Prfifungen •oka/' ergeben, erfiillt die resultierende Steuerung per Konstruktion die funktionale 
Eigenschaft Andemfalls wird dies nicht garantiert 

43 Verf ahren zur Funktions-Generierung 

5 In diesem Abschnitt wird der Algorithmus zur Generierung der f unktionalen Eigenschaf ten beschriebeiL 
Verwendete Bezeichnungen 

— Delta bezeichne die Obergangsrelation der Steuerung. Diese ist zu Anfang vorbelegt mit einer Relation, 
10 die vorgegebene Enschrankungen darstellt, wie etwa nach Abschnitt 3 konstruierte Sicherheitseigenschaf- 

ten. 

Im Verlaufe des Verfahrens wird Delta weiter eingeschrankt, und bei erfolgreichem Ende des Verfahrens 
druckt sie am SchluB gerade die Losung aus, d h die Steuerung, die die verlangte Funktion garantiert 

— Fain bezeichne die Menge, die durch folgende Bedingung gekenhzeichnet ist: "der aktuelle ProzeB- 
is schritt besteht in einer Aktion der i-ten ProzeBkomponente*. Diese Bedingung wird auch als (i-te) Fairness- 
Bedingung bezeichnet Hierin spiegelt sich die implizite Voraussetzung, daB jede unabhingige Komponente 
des Prozesses Immer wieder", d h. jeweils nach endlicher Zeit aktiv wird. Das Verfahren benutzt diese 
Annahme in folgender Weise: ein Fortschritt in Richtung auf einen angestrebten Zustand ist auch dadurch 
erreichbar, daB das Eintreten einer Fairness-Bedingung einen solchen Obergang erzwingt 

20 — Fur jede Zustandsmenge P bezeichne acx(P) die Menge all der Zustande, fur die in einem Schritt ein 

Obergang in die Menge P erzwingbar ist 

Die groBte stabflisierbare Teilmenge von P kann berechnet werden wie unter 3. beschrieben. 
Die Bezeichnungen winnj, winXn, auxai stehen fur Zustandsmengen, die im Laufe des Verfahrens berechnet 
25 werden: 

Verf ahren 

Der folgende Algorithmus wird fur jedes Paar*Prae - Target" durchgef uhrt 

(1) Setzewinojo:= grdBte stabflisierbare Teilmenge von Target, 

(2) wiederhole die Schritte (3) bis (10) f Or n = 0, 1, 2, . . • , solange bis gilt 

winn+1,0 8=3 winnx) 

(3) wiederhole die Schritte (4) und (5) f ur j « 0, 1, 2, . . . , solange bis gilt 
winnj+i — winnj 

(4) setze winnj -m winnj U acx(winnj); d. h. Die Menge winnj + i besteht aus alien Zustanden der Menge 
winnj zuzugiich der Zustande, von denen aus in einem Schritt ein Obergang in die. Menge winnj erzwingbar 
ist 

(5) schranke die Obergangsfunktion Delta in der Weise ein, daB, wenn immer moglich, die Menge winnj +i 
nicht mehr veriassen wird, 

(6) setze winX n : = winnj, 

(7) wiederhole die Schritte (8) und (9) fur jede Fairness-Bedingung Fair,: 

(8) setze auxnj : — grdBte stabflisierbare Teilmenge von (winX D U (Menge der Zustande S, so daB gilt: 
falls S in Fain hegt dann ist jeder Folgezustand b winXn)X 

(9) schranke die Obergangsfunktion Delta in der Weise ein, daB, wenn immer moglich, die Menge auxnj nicht 
mehr veriassen wird, 

(10) setze schlieBKch win n + 1# := auxn,i U auxra U ♦ . . U auxn*. 

Erfolgskriterium 

Die erzeugte Steuerung ist dann korrekt wenn am SchluB f olgendes gilt: 

(1) Der Anfangszustand des Systems liegt in der Menge winnA 

(2) Fur jeden Zustand in win*© liegen auch alle Folgezustande in win a o. 

Im Fig. 6 ist das Verfahren nochmals als Ablaufplan dargestellt 
Nachfolgend wird ein kompiettes Codebeispiel fur den Hubdrehtisch angegeben: 
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f CSLxt Code fOr Hubdrehtisch V 



declTyp (rot_table, 

sensorjEustaende: [ 

parLpresent [ ja, neinj, 

vertfeaLpos: [ low, between Jowjrigh, high ], 

rotary_pos: [ rotO, between_rot0_rot45, rot45 ]], 

ausgangs.zustaende: [ 

• moving_state: [ stop, up, down J, 

rotation_state: [ rot_stop, rot_plus, rot_minus J, 

process_description:[ 

quaLderiv :[vertlcaLpos, low, betweenjowjiigh, high, 

moving_state, stop, up, down], 
quaLderiv :[rotary_pos, rotO, between_rot0_rot45, rot45 

rotation_state, rot_stop, rot_plus, rot_minus, JJ, 

safety_requirements: 

/Tlsch nicht tiefer als "low" absenken V 

nicht (verticaLpos = low A moving_state = down) I* (etc. f uer die an- 
deren Qrenzen )*/ 

t* Tisch in Stellung "low" nicht rotieren V 
A ((verticaijpos = tow) => 

(rotation_state = rot_stop) A (rotaiy_pos = rotO)), 

function:[ 

part_present ist ja - 

(verticaL pos= high) /v (rotary_ pos= rot45). 
part_present ist nein - 

(rotary_ pos= rotO)A (verticaL pos= low)] 

]• 

/*- END TYP rouable */ 

Patentanspriiche 

1. Verfahren zur automatischen Erzeugung einer Steuerung fur einen ProzeB, 

a) bei dem ein nicht deterministischer Automat, der afle physikalisch mdgUchen Verhaltensweisen der 
Steuerung beschreibt, festgelegt wird, 

b) bei dem die erlaubten Zustandsubergange des von der Steuerung zu beeinflussenden Prozesses 
beschrieben werden, 

c) bei dem der Automat so einges tellt wird, daB er vorgegebene Sicherheitsbedingungen erf iillt, 

d) bei dem der Automat so eingestellt wird, daB er die Funktion des aus Steuerung und ProzeB 
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bestehenden Systems erfOUt 
Z Verfahren nach Anspruchl, M . . . 

bei dem zur Einstellung der Sicherheitsbedmgungen die grSBte stabihsierbare Teilmenge der als zulSssig 
spezifizierten Zustandsmenge iterativ bestimmt wird, . 

bei dem die Obergangsf unktion des Automaten so eingestellt wird, daB nur jeweils Folgezustande gewahlt 

werden,dieindiesergr6BtenstabilisierbarenMengeIiegen. _ 

a Verfahren nach Anspruch 2, bei dem zur Einhaltung der Sicherheitsbedmgungen fur das System aus 

Steuerung und ProzeB folgende Zusttnde bei der Realisierung ausgeschlossen werden: 

jeder Zustand der Steuerung, bei dem alie Folgezustande die Sicherhehsbedingungen nicht erfullen 

jeder Zustand des Prozesses, bei dem mindestens ein Folgezustand die Sicherheitsbedingungen nicht erf ullt. 

4. Verfahren nach einem der vorhergehenden Anspruche, bei dem zur Einstellung der Funktion des Systems 

— die FunktiondundiAngabebedingterSebnistandedefiniert wird, 

— iterativ die Menge all derjenigen Zustande bestimmt wird, von denen aus der Ubergang in einen 
Zielzustand in endlich vielen Schritten erzwungen werden kann, 

— die Obergangsfunktion dadurch eingeschrankt wird, daB, wenn moglich, solche Ubergange ausge- 
fuhrt werden, die zum Zielzustand fuhren. 

Hierzu 6 Seite(n) Zeichnungen 
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